Política de Segurança da Informação

Transcrição

1

2 SUMÁRIO 1. OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEVER DOS USUÁRIOS DO GRUPO SECULUS CLASSIFICAÇÃO DA INFORMAÇÃO DADOS DOS USUÁRIOS ADMISSÃO E DEMISSÃO DE COLABORADORES E/OU PRESTADORES DE SERVIÇOS - USUÁRIOS TRANSFERÊNCIA DE COLABORADORES E/OU PRESTADORES DE SERVIÇOS - USUÁRIOS PROGRAMAS ILEGAIS PERMISSÕES E SENHAS BACKUP CÓPIAS DE SEGURANÇA DE ARQUIVOS EM DESKTOPS E NOTEBOOKS SEGURANÇA E INTEGRIDADE DOS DADOS PROPRIEDADE INTELECTUAL UTILIZAÇÃO DA INTERNET UTILIZAÇÃO DO CORREIO ELETRÔNICO ( ) NECESSIDADE DE NOVOS SISTEMAS, APLICATIVOS E EQUIPAMENTOS UTILIZAÇÃO DE COMPUTADORES PORTÁTEIS RESPONSABILIADES DOS GESTORES UTILIZAÇÃO DE ANTIVÍRUS SANÇÕES LEGAIS DISPOSIÇÕES GERAIS... 9 Pág.:2/9

3 1.OBJETIVOS DA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A presente norma de Política de Segurança da Informação será aplicada a todos aqueles que, de forma direta ou indireta, participam das atividades desenvolvidas pelo Grupo Seculus, utilizam os recursos tecnológicos das empresas ou acessam as informações pertencentes ao Grupo. O objetivo é garantir a disponibilidade, integridade, confidencialidade, legalidade, autenticidade e auditabilidade da informação, necessária para a realização dos negócios das empresas do Grupo Seculus. 2. DEVER DOS USUÁRIOS DO GRUPO SECULUS Todos os colaboradores, prestadores de serviços e fornecedores do Grupo Seculus doravante denominados usuários que utilizam recursos computacionais das empresas do Grupo, são responsáveis pela segurança e a integridade das informações e dos equipamentos de informática, disponibilizados para o desempenho de suas tarefas. É dever de cada um deles considerar a informação como sendo um bem da organização, um dos recursos críticos para a realização do negócio, que possui grande valor para o Grupo Seculus e deve sempre ser tratada com sigilo e profissionalismo. A violação desta política de segurança consiste em qualquer ato que: 1. Exponha uma das empresas do Grupo Seculus a uma perda monetária efetiva ou potencial por meio do comprometimento da segurança dos dados/informações ou, ainda, pela perda de equipamento. 2. Envolva a revelação de dados confidenciais, direitos autorais, negociações, patentes ou uso não autorizado de dados/informações corporativas das empresas do Grupo Seculus. 3. Envolva o uso de dados/informações para propósitos ilícitos, que venham a violar qualquer lei, regulamento ou qualquer outro dispositivo governamental. 3. CLASSIFICAÇÃO DA INFORMAÇÃO As informações (relatórios e/ou mídias) da organização, ou nela geradas, deverão ser classificadas de acordo com os níveis de confidencialidade estabelecidos abaixo: 1 Informação Pública: toda informação que pode ser acessada por usuários da organização, clientes, fornecedores, prestadores de serviços e público em geral. 2 Informação Interna: toda informação que só pode ser acessada por usuários da organização. São informações que possuem um grau de confidencialidade que pode comprometer a imagem da organização, se divulgadas externamente. 3 Informação Confidencial: toda informação que pode ser acessada somente por usuários da organização, explicitamente indicado pelo nome ou por área a qual pertence. A divulgação não autorizada dessa informação ou exposição da mesma pode causar sérios danos ao negócio e/ou comprometer a estratégia de negócio da organização. Todos os gestores devem orientar seus subordinados a não divulgarem ou deixarem expostas informações e/ou mídias consideradas confidenciais e/ou restritas. Pág.:3/9

4 Assim, ao término do expediente, relatórios e/ou mídias confidenciais e/ou restritas não deverão ser deixados em locais de fácil acesso, tais como impressoras e mesas, entre outros, tendo sempre em mente o conceito mesa limpa. 4. DADOS DOS USUÁRIOS Os usuários só podem armazenar dados pessoais nas instalações das empresas do Grupo Seculus, com prévia e expressa autorização do gestor. O Grupo Seculus se compromete em não acumular ou manter intencionalmente dados pessoais dos usuários, além daqueles relevantes na condução dos negócios da organização. Todos os dados pessoais que, porventura sejam armazenados, serão considerados dados confidenciais e, enquanto sob a responsabilidade do Grupo Seculus, não serão usados para fins diferentes daqueles para os quais foram coletados. 5. ADMISSÃO E DEMISSÃO DOS COLABORADORES E PRESTADORES DE SERVIÇOS - USUÁRIOS O Departamento Pessoal do CH Corporativo deverá informar previamente à área de Tecnologia da Informação, toda admissão e demissão de colaboradores e/ou prestadores de serviços usuários, para que os mesmos possam ser cadastrados ou excluídos no sistema das empresas do Grupo Seculus. No caso dos colaboradores e/ou prestadores de serviços admitidos, além do cadastro no sistema das empresas do Grupo Seculus, a área de Tecnologia da Informação fornecerá uma senha e registrará os novos contratados como usuários dos recursos computacionais. Cabe ao setor solicitante da contratação, a comunicação à área de Tecnologia da Informação sobre as rotinas a que o novo contratado terá direito de acesso. No caso de prestadores de serviços, colaboradores temporários e/ou estagiários também deverá ser informado o tempo de contrato estipulado com a empresa, para que na data de seu desligamento possam também ser encerradas as atividades relacionadas ao direito de seu acesso ao sistema. No caso de demissões, o Departamento Pessoal do CH Corporativo deverá comunicar o fato à área de Tecnologia da Informação, para que sejam excluídos os acessos dos usuários que encerraram suas atividades.. Cabe ao Departamento Pessoal do CH Corporativo disponibilizar esta Política de Segurança da Informação para o conhecimento dos novos contratados, bem como obter as devidas assinaturas de concordância às normas e diretrizes nela estabelecidas. 6. TRANSFERÊNCIA DE COLABORADORES E/OU PRESTADORES DE SERVIÇOS - USUÁRIOS Quando um usuário for promovido ou transferido de área/gerência, o Departamento Pessoal do CH Corporativo deverá comunicar o fato à área de Tecnologia da Informação, para que sejam feitas as adequações necessárias para o acesso do referido usuário ao sistema informatizado das empresas do Grupo Seculus. Pág.:4/9

5 7. PROGRAMAS ILEGAIS O Grupo Seculus respeita os direitos autorais dos programas que utiliza e reconhece que deve pagar o justo valor por eles, não sendo permitida a utilização de programas não licenciados nos computadores das empresas do Grupo Seculus, ou seja, é terminantemente proibido o uso de programas ilegais, cópias não autorizadas, dentre outros tipos, que violem o direito autoral. Os usuários não podem, em hipótese alguma, instalar softwares (programas) não autorizados ou não homologados pelo Grupo Seculus nos equipamentos das empresas. Somente a área de Tecnologia da Informação é autorizada a instalar programas previamente permitidos dentro da Política de Segurança. Com a periodicidade que entender mais conveniente, a área de Tecnologia da Informação poderá verificar os dados dos servidores e/ou os computadores dos usuários, visando garantir a correta aplicação desta diretriz. Caso sejam encontrados programas não autorizados, estes serão removidos dos computadores e, se apurado o responsável pela instalação, o mesmo será advertido. Aqueles que instalarem em seus computadores de trabalho tais programas não autorizados, se responsabilizam perante a empresa por quaisquer problemas ou prejuízos causados oriundos desta ação, estando sujeitos à penalidades. 8. PERMISSÕES E SENHAS Todo usuário, para acessar os dados da rede, deverá possuir um login e uma senha previamente cadastrados e fornecidos pela área de Tecnologia da Informação. Quando da necessidade de cadastramento de um novo usuário para utilização da rede, sistemas ou equipamentos de informática, o setor de origem do novo usuário deverá comunicar à área de Tecnologia da Informação, informando a que tipo de rotinas e programas o novo usuário terá direito de acesso e quais itens do sistema serão restritos. A área de Tecnologia da Informação fará o cadastramento e informará ao novo usuário qual será a sua primeira senha, a qual deverá, obrigatoriamente, ser alterada imediatamente após o primeiro login. Por segurança, a área de Tecnologia da Informação recomenda que as senhas sejam periodicamente alteradas e tenham sempre um critério mínimo de segurança para que não sejam facilmente copiadas. Quando houver necessidade de acesso para usuários externos, sejam eles colaboradores temporários ou não, a permissão de acesso deverá ser bloqueada tão logo este tenha terminado o seu trabalho. Se houver, no futuro, nova necessidade de acesso, nova solicitação deverá ser feita à área de Tecnologia da Informação. 9. BACKUP Todos os dados das empresas do Grupo Seculus devem ser protegidos através de rotinas sistemáticas de Backup (cópia de segurança das informações). As cópias de segurança do sistema integrado e servidores de rede são de responsabilidade da área de Tecnologia da Informação. Pág.:5/9

6 10. CÓPIAS DE SEGURANÇA DE ARQUIVOS EM DESKTOPS E NOTEBOOKS Não é política das empresas do Grupo Seculus, o armazenamento de dados em desktops e notebooks. Entretanto, existem alguns programas específicos que não permitem o armazenamento em rede (ex. Fiscal, Imposto de renda, etc). Nestes casos, a equipe de Tecnologia da Informação deverá alertar e orientar o usuário sobre a realização do backup dos dados de sua máquina. Todos os dados de fundamental importância para a continuidade dos negócios das empresas do Grupo deverão ser armazenados nos servidores. 11. SEGURANÇA E INTEGRIDADE DOS DADOS O gerenciamento do(s) banco(s) de dados dos sistemas existentes nas empresas do Grupo Seculus é de responsabilidade exclusiva da área de Tecnologia da Informação, assim como a manutenção, alteração e atualização de equipamentos e programas. 12. PROPRIEDADE INTELECTUAL Todo conteúdo criado ou desenvolvido pelos usuários durante a execução de suas atividades é de propriedade da empresa na qual atuam. Desta forma, em hipótese alguma, os softwares, documentos e arquivos desenvolvidos pelos usuários do Grupo Seculus serão considerados de suas autorias, sendo sempre de propriedade da empresa que o contratou. 13. UTILIZAÇÃO DA INTERNET O acesso à Internet será autorizado somente para os usuários que necessitam deste recurso para o desempenho das suas atividades profissionais. A definição destes usuários é atribuição da direção de cada empresa do Grupo Seculus. A utilização da internet será monitorada pela área de Tecnologia da Informação, inclusive através de logs (arquivos gerados no servidor), que informam qual usuário está conectado, o tempo que usou a Internet e quais páginas acessou. Sites com informações que não agreguem conhecimento profissional e/ou para o negócio das empresas do Grupo Seculus não devem ser acessados. Os usuários devem se assegurar de que não estão executando ações que possam infringir direitos autorais, marcas, licenças de uso ou patentes de terceiros. Se não agirem dessa forma, serão responsabilizados nos termos deste instrumento. Quando navegando na Internet, é proibida a visualização, cópias, transferências (downloads) ou acesso a sites: De conteúdo multimídia (rádio, filmes, YouTube etc.), a menos que o conteúdo se relacione a objetivos profissionais e seja previamente autorizado pelo gestor; Pág.:6/9

7 De conteúdo pornográfico ou relacionado a sexo; Que defendam atividades ilegais; Que menosprezem, depreciem ou incitem o preconceito a determinados grupos ou classes sociais; Que promovam a participação em salas de discussão de assuntos não relacionados aos negócios das empresas do Grupo Seculus; Que promovam discussão pública sobre os negócios das empresas do Grupo Seculus, a menos que autorizado pelo gestor; Que possibilitem a distribuição de informações de nível confidencial, relacionadas às empresas do Grupo Seculus; Que permitam a transferência (downloads) de arquivos e/ou programas ilegais. 14. UTILIZAÇÃO DO CORREIO ELETRÔNICO ( ) O correio eletrônico fornecido pelas empresas do Grupo Seculus é um instrumento de comunicação interna e externa estritamente para fins profissionais. Dessa forma, as mensagens devem ser redigidas de modo formal, para que não comprometam a imagem das empresas do Grupo Seculus. Além disso, não podem ser contrárias à legislação vigente e nem aos princípios éticos da sociedade, bem como da organização O uso do correio eletrônico é pessoal e o usuário é responsável por toda mensagem enviada pelo seu endereço. É terminantemente proibido o envio de mensagens que: Contenham declarações difamatórias e linguagem ofensiva; Possam trazer prejuízos a outras pessoas e às empresas do Grupo Seculus; Sejam hostis e inúteis; Sejam relativas a correntes, de conteúdos pornográficos ou equivalentes; Possam prejudicar a imagem do Grupo Seculus; Possam prejudicar a imagem de outras empresas; Sejam incoerentes com as políticas definidas neste instrumento. Para incluir um novo usuário no correio eletrônico, o gestor responsável deverá solicitar à área de Tecnologia da Informação. O uso do correio eletrônico será monitorado pela área de Tecnologia da Informação, inclusive através de logs que informam a quantidade de mensagens enviadas e recebidas, seus Pág.:7/9

8 conteúdos e spams. A área poderá, a qualquer momento, realizar auditorias no servidor de correio eletrônico e/ou nas estações de trabalho dos usuários. 15. NECESSIDADE DE NOVOS SISTEMAS, APLICATIVOS E EQUIPAMENTOS A área de Tecnologia da Informação é responsável pela aplicação desta Política de Segurança da Informação, em relação à definição de compra e substituição de softwares(programas) e hardwares (equipamentos de informática) pelas empresas do Grupo Seculus Qualquer solicitação deverá ser feita pelo gestor responsável à equipe de Tecnologia da Informação. Não é permitida a compra ou o desenvolvimento de softwares ou hardwares diretamente pelos usuários. 16. UTILIZAÇÃO DE COMPUTADORES PORTÁTEIS Os usuários que tiverem direito a utilizar computadores portáteis ou qualquer outro equipamento computacional, de propriedade da Empresa, devem estar cientes que: Os recursos de tecnologia da informação, disponibilizados para os usuários, têm como objetivo único e exclusivo a realização de atividades profissionais. A proteção do recurso computacional de uso individual é de responsabilidade do próprio usuário. É de responsabilidade de cada usuário assegurar a integridade do equipamento, bem como a confidencialidade e disponibilidade das informações nele contidos. O usuário não pode, em hipótese alguma, alterar a configuração do equipamento recebido. Sendo necessária qualquer alteração de configuração, esta deverá ser solicitada à área de Tecnologia da Informação do Grupo Seculus para que, se autorizado pelo gestor responsável, o referido setor execute a modificação. 17. RESPONSABILIDADES DOS GESTORES Os gestores são responsáveis pelas definições dos direitos de acesso dos usuários aos sistemas e informações utilizados em sua área, e poderão solicitar auditorias de acesso dos usuários às informações. Além disso, também são responsáveis pelo cumprimento desta política pelas pessoas da sua equipe. 18. UTILIZAÇÃO DE ANTIVÍRUS Todas as estações de trabalho terão um antivírus instalado, que será atualizado automaticamente. O usuário não pode, em hipótese alguma, desabilitar o programa de antivírus instalado nas estações de trabalho e nos computadores portáteis. Pág.:8/9

9 19. SANÇÕES LEGAIS Todos os colaboradores, prestadores de serviços e/ou parceiros do Grupo Seculus que forem identificados por violar esta Política de Segurança da Informação serão responsabilizados, seja no âmbito civil ou penal. Este ato não impede a extinção da relação contratual, firmada entre o usuário e determinada empresa do Grupo Seculus. 20. DISPOSIÇÕES GERAIS Fica estabelecido que toda ação que vise regulamentar os procedimentos referentes à Política de Segurança da Informação, tais como prazos para a criação de login e senha, cancelamento e alteração destes, será definida pelas empresas do Grupo Seculus em conjunto com a área de Tecnologia da Informação. Essas ações serão oportunamente repassadas aos gestores responsáveis porcada área. A presente Política de Segurança da Informação foi aprovada pelo Comitê de Tecnologia da Informação das empresas do Grupo Seculus e referendada pelo Conselho de Administração da Semear Participações S/A, holding controladora das sociedades empresárias integrantes do Grupo Econômico Seculus, em reunião realizada no dia 27/03/2012 a qual expressa fielmente seus termos. Pág.:9/9